Lo scorso 12 marzo, il Parlamento Europeo ha definitivamente adottato con 586 voti favorevoli, 44 contrari e 36 astensioni il sistema di certificazione per la sicurezza informatica europea meglio noto come Cybersecurity Act. Si tratta di un importante provvedimento che continua sulla strada e nella direzione ormai intraprese a livello europeo di armonizzare ogni aspetto connesso al mondo delle reti e alla cybersecurity. Così come già concordato informalmente con i ministri UE, il Cybersecurity Act prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi, in ordine gli standard di sicurezza informatica. Sistemi di controllo industriali, dispositivi medici e anche i nuovi veicoli a guida autonoma sono solo alcuni dei prodotti di uso comune (o che lo saranno nei prossimi anni) per i quali sarà disponibile il nuovo schema europeo di certificazione. 

Il Cybersecurity act come già il GDPR, è preceduto da un consistente numero di “Considerata” che, oltre a chiarirne la ratio, ne integrano il contenuto: andrà ad affiancarsi al GDPR e alla Direttiva NIS ma, in quanto regolamento, a differenza di quest’ultima è di immediata applicazione senza provvedimenti di recepimento da parte degli Stati membri dell’Unione.

Il provvedimento può essere diviso in due parti: nella prima viene ridefinito il ruolo e l’organizzazione di ENISA, L'Agenzia europea per la sicurezza delle reti e dell'informazione rendendone permanente il mandato. Nella seconda parte viene previsto un quadro europeo comune di certificazione della cybersecurity, al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di sicurezza e rendendo possibile un sistema più armonizzato dei sistemi europei di certificazione della cybersecurity, allo scopo di favorire la creazione e l’armonizzazione di un mercato unico digitale per i prodotti, i servizi e i processi digitali.

Vengono inoltre indicate alcune caratteristiche che dovranno avere le certificazioni per la sicurezza quali l’accertamento che sistemi, servizi e processi siano in grado di proteggere i dati, durante ogni trattamento, da accessi non autorizzati o dalla divulgazione accidentali o non autorizzate durante l’intero ciclo di vita. Dovranno essere previste modalità che salvaguardino i dati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, nonché dalla mancanza di disponibilità e, tra le altre, la previsione del tempestivo ripristino in caso di incidente fisico o tecnico.

Vengono poi indicati tre livelli di certificazione differenti, che possono essere banalmente definiti base, sostanziale e elevato. Mentre il primo, in alcuni casi, potrebbe sostanziarsi anche in una autocertificazione, per il terzo si dovrà disporre di sistemi che permettano una valutazione di sicurezza a un livello inteso a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative. 

Nel testo viene poi prevista l’organizzazione delle autorità di Certificazione, di cui ogni Stato dovrà dotarsi, e che saranno accreditate presso ENISA e sottoposte da questa alle forme di controllo. Si tratta di un provvedimento che, combinato con il GDPR e la Direttiva NIS, offre ai produttori e fornitori europei anche un valido strumento per proteggersi dalla concorrenza esterna dei prodotti low cost e che lesinano proprio sulla loro sicurezza proprio ad iniziare dai sistemi.